隨著互聯網的發展，眾多企業的關鍵業務越來越多的運行于網絡之上，各應用系統、業務系統、支撐系統迅速發展，業務包含的主機、網絡設備、終端數量不斷增多，數據信息出現井噴式發展。而針對這些的信息系統的攻擊和入侵也層出不窮，同事來自內部的違規和信息泄露也頻繁出現，一旦出現后，若未記錄留存日志，則無法提取日志，為事后調查提供依據，導致事后難以追查。

對此，國家的政策法規、行業標準等都明確對日志審計提出了要求，日志審計已成為企業滿足合規內控要求所必須的一項基本要求。

那么，日志作為安全溯源的依據和預警輸出的前提，其重要性不言而喻，那么什么樣的日志審計系統可以滿足合規要求？

什么樣的日志審計系統可以滿足合規要求

一、什么是日志審計系統

日志審計系統（平臺）通過采集信息系統中的各種信息，如系統安全事件、用戶訪問記錄、系統運行日志、系統運行狀態等，經過標準化、過濾、合并、報警分析，以日志的形式統一存儲和管理，結合豐富的日志統計、匯總和相關性分析功能，實現對信息系統日志的全面審計。

日志審計系統

二、日志審計面臨的挑戰

日志分散

企業網絡中存在使用各種安全設備、網絡設備、應用系統等，它們都分散在網路的不同位置，它們產生的日志也對應的分散，審計人員需要登錄不同的設備和應用系統的控制臺去才能去查看設備產生的日志以及狀態。

日志數據量大

企業的各種安全設備、網絡設備、應用系統等每天會產生大量的安全日志，通過人工的手段，審計人員是很難去實現集中存儲以及日志分析。

日志格式不統一

各種安全設備、網絡設備、應用系統等產生的日志其格式都不統一，審計人員需要通過了解每種日志格式才可能分析日志。

國家法律法規要求

從國家法律法規、行業標準和規范的角度出發，日志審計已經成為了滿足合規與內控需求的必備功能。

《網絡安全法》：采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月。日志審計的合規要求發生了轉變，從原來的不合規轉變為不合法。如果要求的相關日志留存時間不滿足6個月，一旦被檢查，將面臨法律責任。

《網絡安全等級保護基本要求》（GB/T 22239-2019）中也規定了：二到四級需要對網絡、主機、應用安全三部分進行日志審計，留存日志需符合法律法規規定。

《商業銀行內部控制指引》第一百二十六條：商業銀行的網絡設備、操作系統、數據庫系統、應用程序等均當設置必要的日志。日志應當能夠滿足各類內部和外部審計的需要。

《證券公司內部控制指引》第一百一十七條：證券公司應保證信息系統日志的完備性，確保所有重大修改被完整地記錄，確保開啟審計留痕功能。證券公司信息系統日志應至少保存15年。

……

日志審計系統面臨的挑戰

三、如何應對這些條件選擇合適的日志審計系統？

目前，市面上的日志審計系統種類繁多，下面以天磊衛士為例做具體的說明：

1.滿足全面的日志收集

分布式采集，支持自定義數據采集。

支持各種協議采集，包括 syslog,utp,tcp 等。

支持各種日志類型，包括主機，數據庫，網絡設備，安全設備，第三方系統等。

自動識別各種日志類型，自動抽取關鍵字段，將日志統一處理同一個格式日志數據。

2.能夠讓日志集中存儲管理

將日志進行集中化收集并存儲，形成日志管理體系。

支持對采集的各種數據，系統自動進行統一化處理，日志重要信息自動補全，支持日志的自動分類，為后續的檢索、分析等提供便利。

在管理界面中集中地查看所有的日志，無需再到第三方系統中查看。

支持數據的自動或手動備份，備份數據可手工恢復，用作日志回查。

3.擁有實時的安全分析能力

實時審計分析。支持自定義事件告警規則，支持通過正則表達式對入侵行為、WEB攻擊、安全事件等行為進行告警。

基于統計的分析。自動統計安全事件分級、分類統計，自動生成數據報表，支持快速導出數據報表進行分析。

基于關聯的分析。支持自定義關聯分析規則，能對符合關聯規則條件的原始事件進行分析，解決單一設備無法識別的一些安全威脅。如繞過防火墻等。

快速實時的告警。匹配事件告警規則，滿足規則即刻告警，支持發送郵件告警確保管理員在第一時間發現違規行為。

4.要有靈活強大的搜索能力

通過日志分類結構快捷檢索，快速查詢到目標日志。

對企業內的海量 IT 數據實現類似 google 的搜索，快速返回任何關鍵字或短語的搜索結果。

通過搜索框，通過交互式對比查詢，可快速收縮事件范圍。

支持 lucene 語法自定義搜索 Elasticsearch。方便用戶在海量數據中精準、快速地查詢到任何一條日志。

5.還要能按照時間維度展示數據指標項

自動生成數據報表。

支持根據時間維度進行統計展示各項數據指標。